下一代防火墙第二代防火墙与下一代防火墙与之有何区别与联系？

下一代防火墙 如何选择适合你的？

“下一代”安全本质 更简单的安全 下一代安全首先是更简单的安全。

下一代安全的一个基本特征就是所谓的“可视化”，意指对网络信息进行分析整理并以图形的方式进行直观展现。

这种产品设计给安全管理带来的改变要比人们想象得还要深刻。

更完整的安全 其次，下一代防火墙还是更加完整的安全产品。

对于中小企业来说，无论是从购置成本来考虑，还是从复杂的部署、管理、维护对人力成本的巨大要求来考虑，都不太可能部署所有的主流安全设备到网络中。

而下一代防火墙一体化多威胁检测引擎的产品设计，使得用户可以拥有完整的安全能力，而且区别于UTM之处在于，下一代防火墙是围绕应用层重新构建的安全架构，多安全引擎通过应用层进行统一配置，安全日志通过应用关联进行统一分析，让管理人员能够真正以管理一台设备的方式工作，而不是像UTM那样在一个界面中管理多台无关设备。

传统防火墙往往会以网络层性能作为参数。

然而网络层性能对于下一代防火墙而言基本没有意义。

因为下一代防火墙是在应用层上工作的防火墙，因此，客户应该考察的是“应用性能”，也就是在应用识别能力开启条件下的防火墙性能。

另外，下一代防火墙的核心特征之一就是多安全引擎开启不会导致严重的性能下降情况。

因此客户还必须要考察在多安全引擎全部开启的情况下，防火墙的性能表现。

　应用识别能力 其次是从应用识别能力来考量。

下一代防火墙是工作在应用层基础上的防火墙，因此应用识别能力成为下一代防火墙的核心能力。

首先要考察防火墙的应用库有多大，其次是应用识别的细粒度，比如应用是否有足够多的分类，以便于客户管理，平台型应用是否还支持子应用识别等。

另外，应用库的更新速度也很重要。

可视化能力产品的可视化能力也是考量的重要指标。

可视化能力是决定下一代防火墙能否真正发挥作用的关键所在。

当然这一点很难量化衡量，需要用户自己亲自动手比较才能得出结论。

下一代防火墙是什么？

下一代防火墙，即Next Generation Firewall，简称NG Firewall。

F5 BIG-IP ASM是业内最全面的Web应用安全与应用完整性解决方案。

下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，如：使用Web邮件、anonymizer、端到端或计算机远程控制等。

仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。

细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯，并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。

这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。

而业务识别的另外一项优点还包括带宽控制，例：因为拒绝了无用或不允许进入的端到端流量，从而大幅降低了带宽的耗用。

第二代防火墙与下一代防火墙与之有何区别与联系？

下一代防火墙是公安部第三研究所研究适用于我国网络环境的功能。

下一代防火墙标准GA/T 1177-2014《信息安全技术 第二代防火墙安全技术要求》（“标准”），将国际通用说法“下一代防火墙”更名为“第二代防火墙”，依据安全的强弱和高低将安全等级分为基础级和增强级。

锐捷防火墙产品满足第二代防火墙的规范要求，是适用我国网络环境的高性能第二代防火墙。